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(54) Procede de mise en oeuvre d'un programme securise dans une carte a microprocesseur et 
carte a microprocesseur comportant un programme securise 



(57) On prevoit de securiser un programme a 
regard d'une unite centrale (1 ) en memorisant dans une 
premiere zonede memoire (3) une serie de fonctions a 
adresse predetermined directement executables par 
I'unite centrale (1), en protegeant cette premiere zone 



de memoire en ecriture, et en memorisant le programme 
dans une seconde zone de memoire (4) sous forme 
d'une serie destructions executables a I'interieur de la 
seconde zone de memoire (4) o'u activant des fonctions 
contenues dans la premiere zone de memoire (3) . 
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Description 

La presente invention concerne un procede de mise 
en oeuvre d'un programme securise dans une carte a 
microprocesseur et une carte a microprocesseur com- 5 
portant un programme securise. 

On sait que la plupart des microprocesseurs actuels 
comportent en plus de la memoire RAM et de ia memoi- 
re ROM associees a I'unite centrale pour permettre le 
tonctionnement de celle-ci, une memoire EEPROM 10 
contenant des donnees propres au porteur de la carte 
et a 1'application de base a laquelle cette carte est des- 
tinee. II est de plus en plus frequent que les operateurs, 
c'est-a-dire les societes qui achetent les cartes aux fa- 
bricants pour les mettre a la disposition des utilisateurs, ^ 
demandent le chargement dans la memoire EEPROM 
d'un programme qui leur est personnel. A titre d'exem- 
ple, dans une carte a microprocesseur destinee a la ra- 
diocommunication certains operateurs ont demande la 
mise en place d'un programme de messagerie vocale. 20 
Lorsque la liaison entre la memoire EEPROM et ['unite 
centrale est laissee totalement libre, le chargement par 
un operateur d'un programme ecrit dans un langage di- 
rectement comprehensible par I'unite centrale resuite 
en une prise de controle totale de I'unite centrale lors de 25 
I'execution du programme sans aucune surveillance de 
la part du systeme d'exploitation du fabricant de la carte 
qui se trouve ainsi desactive. Ayant le controle de I'unite 
centrale, le programme de I'operateur peut contenir des 
instructions permettant un acces a toutes les informa- so 
tions contenues dans la carte, y compris celles qui de- 
vraient normalement etre protegees a son egard. 

Pour eviter une prise de controle de I'unite centrale 
par le programme de I'operateur, on connaTt des cartes 
a microprocesseur dans lesquelles la memoire conte- 35 
nant le programme de I'operateur doit etre charge avec 
des commandes particulieres qui sont verifiees par un 
interpreter dispose entre la memoire et I'unite centrale, 
I'interpreteur ayant pour fonction de verifier que la com- 
mande ne porte pas atteinte a la securite des informa- 40 
tions presentes dans la carte et de transformer la com- 
mande en une instruction executable par I'unite centra- 
le. L'inconvenient d'un tel systeme est qu'il est neces- 
saire de rediger le programme de I'operateur a partir de 
commandes comprehensibles par I'interpreteur, ce qui 45 
limite les possibles du programme operateur. En outre 
le programme operateur n'est pas execute directement 
mais tout d'abord soumis a une transformation par I'in- 
terpreteur de sorte que la Vitesse d'execution du pro- 
gramme s'en trouve affectee. 50 

Selon l'invention on propose un procede de mise 
en oeuvre dans une carte a microprocesseur d'un pro- 
gramme securise a regard d'une unite centrale reliee a 
une memoire comportant des zones de memoire, le pro- 
cede comprenant les etapes de memoriser dans une ss 
premiere zone de memoire une serie de fonctions a 
adresse predeterminee directement executables par 
I'unite centrale, proteger cette premiere zone de memoi- 



re en ecriture, et memoriser le programme dans une se- 
conde zone de memoire sous forme d'une serie des- 
tructions executables a I'.interieur de la seconde zone 
de memoire ou activant des fonctions contenues dans 
la premiere zone de memoire. 

Ainsi pour les instructions devant etre executees a 
I'exterieur de la seconde zone de memoire, la serie de 
fonctions a adresse predeterminee contenues dans la 
premiere zone de memoire constitue une barriere entre 
le programme et I'unite centrale, le programme etant 
dans I'incapacite d'activer une fonction executable par 
. I'unite centrale qui ne serait pas contenue dans la pre- 
miere zone de memoire. 

Selon une version avantageuse de invention le 
procede comporte I'etape de verifier avant un lancement 
du programme que celui-ci ne comporte que des ins- 
tructions executables a I'interieur de la seconde zone 
de memoire, ou activant des fonctions contenues dans 
la premiere zone de memoire. On evite ainsi qu'un frau- 
deur n'introduise dans le programme operateur une 
fonction directement executable qui porterait atteinte a 
la securite des informations presentes dans la carte. 

Selon un autre aspect avantageux de I'invention, la 
verification du programme est effectuee au moment de 
Initialisation de la carte entre deux octets de reponse 
a Initialisation. On profite ainsi de I'intervalle de temps 
qui separe les deux octets de reponse pour effectuer la 
verification du programme, de sorte que le processus 
^initialisation ne se trouve pas allonge. 

L'invention concerne egalement une carte a micro- 
processeur comportant une unite centrale reliee a une 
memoire comportant des zones de memoire, la carte 
comportant dans au moins une premiere zone de me- 
moire, protegee en ecriture, une serie de fonctions a 
adresse predeterminee directement executables par 
I'unite centrale, et dans au moins une seconde zone de 
memoire une serie destructions executables a I'inte- 
rieur de la seconde zone de memoire ou activant des 
fonctions contenues dans la premiere zone de memoire. 

De preference la seconde zone de memoire est 
egalement protegee en ecriture. 

D'autres caracteristiques et avantages de l'inven- 
tion apparaTtront a la lecture de la description qui suit 
d'un mode de mise en oeuvre particulier non limitatif du 
procede selon l'invention, en relation avec la figure uni- 
que ci-jointe qui est un schema synoptique du procedS 
selon l'invention. 

En reference a la figure, la carte a microprocesseur 
selon l'invention comporte d'une facon connue en soi 
une unite centrale 1 reliee a des memoires RAM et ROM 
non representees, et a une memoire EEPROM 2 com- 
portant notamment une premiere zone de memoire 3 et 
une seconde zone de memoire 4. 

Selon l'invention, la premiere zone de memoire 3 
est chargee avec une serie de fonctions a adresse pre- 
determinee directement executables par I'unite centrale 
1 de la carte. 

Le chargement de la premiere zone de memoire est 
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effectue par le fabricant de la carte, par exemple selon 
une serie ^operations illustrees sur I'organigramme de 
gauche de la figure 1 et comportant un acces 5 a la pre- 
miere zone de memoire de la carte, un chargement 6 
des fonctions executables et une protection 7 de la pre- 
miere zone de memoire 3 en ecriture. La protection de 
la premiere zone de memoire 3 peut etre obtenue soit 
par un code d'acces associe a un algorithme d'authen- 
tification, le code d'acces etant connu seulement du fa- 
bricant, soit par une interdiction totale d'ecriture de la 
premiere zone de memoire 3 apres le chargement de 
celle-ci. 

On entend par f onction a adresse predeterminee au 
sens de invention une fonction executable a une adres- 
se explicitement indiquee dans la fonction ou a une 
adresse pouvant etre calculee par I'unite centrale a par- 
tir d'une definition donnee dans la fonction de sorte 
qu'en raison de la protection en ecriture de la zone de 
memoire contenant les fonctions, la definition des 
adresses ou ces fonctions sont executees ne peut pas 
etre modifiee par le programme operateur. Cette dispo- 
sition permet done de contraier de facon precise toutes 
les adresses accessibles au programme operateur. 

Selon ('invention la seconde zone de memoire est 
charged avec le programme operateur sous forme d'une 
serie d'instructions executables a I'interieur de la secon- 
de zone de memoire ou activant des fonctions conte- 
nues dans la premiere zone de memoire. Les instruc- 
tions executables peuvent etre toutes les fonctions di- 
rectement executables par I'unite centrale mais dont les 
parametres sont fixes de facon a determiner si elles sont 
executables dans la seconde zone de memoire, e'est- 
a-dire si elles pointent sur des adresses comprises dans 
la seconde zone de memoire, ou en dehors de cel!e-ci. 
A ce propos on notera qu'une fonction contenue dans 
la premiere zone de memoire, par exemple une fonction 
de lecture ou d'ecriture, sera executable en dehors de 
cette zone mais a des adresses controfees comme in- 
dique ci-dessus. 

Le programme operateur peut etre charge soit par 
le fabricant de la carte a la demande de i'operateur, soit 
par celui-ci selon un organigramme qui est illustre sur 
le milieu de la figure 1 et qui comporte un acces 8 a la 
seconde zone de memoire suivi d'un chargement 9 du 
programme dans la seconde zone de memoire. 

De preference, le chargement du programme est 
suivi d'une operation de protection en ecriture de la se- 
conde zone de memoire vis-a-vis d'un utilisateur exte- 
rieur. 

Toutes les operations de chargement sont effec- 
tuees sous le controle de I'unite centrale et il est done 
possible de prevoir au cours du chargement une verifi- 
cation que les instructions saisies dans la seconde zone 
de memoire sont toutes executables a I'interieur de la 
seconde zone de memoire ou activent des fonctions 
contenues dans la premiere zone de memoire. Afin de 
pallier toute fraude sur le contenu de la seconde zone 
de memoire apres le chargement normal de celle-ci, on 



prevoit de preference prealablement au chargement du 
programme une interdiction d'execution de celui-ci et 
une procedure de lancement du programme selon un 
organigramme qui est illustre par la partie droite de la 
5 figure 1. Cet organigramme comporte une initialisation 
10 de la carte, I'envoi 11 d'un premier octet de reponse 
a 1'initialisation de la carte, une etape de verification 12 
du programme contenu dans la seconde zone de me- 
moire pour s'assurer que toutes les instructions sont 
to executables a I'interieur de ia seconde zone de memoire 
ou activent des fonctions dans la premiere zone de me- 
, moire, renvoi 13 d'un second octet de reponse, le cas 
echeant la saisie d'un code d'acces 14 au programme 
pour le lancement de celui-ci, renvoi 15 des octets res- 
ts tants de la reponse a ('initialisation, la repartition 1 6 des 
commandes, ('execution 17 du programme et i'execu- 
tion 18 de la commande recue. 

La verification qu'une fonction appelee par le pro- 
gramme est bien contenue dans la premiere zone de 
20 memoire peut etre realisee en consultant une table don- 
nant toutes les adresses de lancement des fonctions 
contenues dans la premiere zone de memoire. 

La verification du programme doit bien entendu re- 
sulter en une signalisation afin que le programme ne 
2S puisse pas etre lance dans le cas d'une instruction er- 
rbnee dans le programme. Cette signalisation est par 
exemple effectuee par le positionnement d'un drapeau 
dans la seconde zone de memoire lorsque la verification 
est satisfaisante et la remise a zero du drapeau dans le 
30 cas contraire. Dans le cas ou il est necessaire de saisir 
un code pour I'execution du programme operateur, on 
peut egalement prevoir un drapeau associe a la saisie 
de ce code. On remarquera que la premiere et la secon- 
de zone de memoire contiennent des instructions direc- 
ts tement executables de sorte qu'apres verification du 
programme celui-ci sera execute sans aucune contrain- 
te contrairement aux systemes anterieurs qui doivent in- 
clure une interpretation de chaque commande preala- 
blement a son execution. 
40 Bien entendu I'invention n'est pas limitee au mode 
de mise en oeuvre illustre et est susceptible de varia- 
tions qui apparaitront a I'homme de metier sans sortir 
du cadre de ('invention tel que defini par les revendica- 
tions. 

45 En particulier, bien que I'invention ait ete decrite en 
relation avec une memoire EEPROM 2 contenant une 
seule premiere zone de memoire 3 et une seule secon- 
de zone de memoire 4, on peut sans sortir du cadre de 
I'invention prevoir plusieurs programmes differents 

so charges dans des secondes zones de memoires diffe- 
rentes associees a une meme premiere zone de me- 
moire ou au contraire chacune associee a une premiere 
zone de memoire contenant les fonctions executables 
correspondantes. 

55 Bien que I'invention ait ete illustree avec une pre- 
• miere zone de memoire dans le EEPROM 2, ce qui per- 
met un chargement des fonctions executables apres 
i'encartage du microprocesseu r, on peut egalement pre- 
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voir de charger les fonctions executables de la premiere 
zone de memoire dans la RAM ou la ROM associee a 
I'unite centrale, les fonctions etent alors integr^es au 
masque servant a realiser le microprocesseur. 



Revendications 



de memoire sont executables exclusivement dans 
la seconde zone de memoire. 

5. Carte a microprocesseur selon la revendication 4, 
5 caracterisee en ce que !a seconde zone de memoi- 
re est au moins partiellement protegee en ecriture. 



1. Procede de mise en oeuvre dans une carte a mi- 
croprocesseur d'un programme securise a regard io 
d'une unite centrale (1) reliee a une memoire (2) 
comportant des zones de memoire, comprenant les 
etapes de : 

memoriser dans une premiere zone de memoi- ^ 
re (3) une sSrie de fonctions directement exe- 
cutables par une unite centrale (1), 
- proteger cette premiere zone de memoire (3) 
en Venture, 

memoriser le programme dans une seconde 20 
zone de memoire (4) sous forme d'une serie 
^instructions executables par I'unite centrale 
ou activant des fonctions contenues dans la 
premiere zone de memoire (3), caracterise en 
ce que les fonctions de la premiere zone de me- 25 
moire sont executables a des adresses prede- 
terminers, et en ce qu'en dehors de Pactivation 
des fonctions de la premiere zone de-memoire, 
les instructions de la seconde zone de memoire 
sont executables exclusivement dans la secon- 30 
de zone de memoire. 



2. Procede selon la revendication 1 , caracterise en ce 
qu'il comporte I'etape de verifier avant lancement 

du programme que celui-ci ne comporte que des 35 
instructions executables exclusivement a I'interieur 
de la seconde zone de memoire (4) ou activant des 
fonctions contenues dans la premiere zone de me- 
moire (3). 

40 

3. Procede selon la revendication 2, caracterisS en ce 
que la verification du programme est effectuee au 
moment de ['initialisation de la carte entre deux se- 
ries d'octets de reponse a I'initialisation. 

45 

4. Carte microprocesseur comportant une unite cen- 
trale (1) reliee a une memoire (2) comportant dans 
au moins une premiere zone de memoire (3), pro- 
tegee en ecriture, des fonctions directement execu- 
tables par I'unite centrale (1 ), et dans au moins une so 
seconde zone de memoire (4), une serie destruc- 
tions executables par I'unite centrale ou activant 
des fonctions contenues dans la premiere zone de 
ntemoire, caracterisee en ce que les fonctions de 

la premiere zone de memoire sont executables a 55 
des adresses predetermines, et en ce qu'en de- 
hors de I'activation des fonctions de la premiere zo- 
ne de memoire, les instructions de la seconde zone 
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